Важное обновление system 2.8.1

[Дмитрий Кондин 690]

Провели серьезный аудит безопасности кода ядра CMS.

Обнаружили несколько уязвимостей и исправили их.

Настоятельно рекомендуем всем обновиться до версии system 2.8.1

[Realtor 47]

Провели серьезный аудит безопасности кода ядра CMS.

Обнаружили несколько уязвимостей и исправили их.

Настоятельно рекомендуем всем обновиться до версии system 2.8.1

Спасибо, в базе сайта хранится очень много коммерческой информации.

Вот еще бы не помешало бы добавить  в форму редактироования полей функцию по хешированию выбранных полей имеющих коммерческую тайну.

[Chernetskiy 469]

А я-то думаю, чего у меня обновление с 10-го раза установилось...?

 

А вообще, глядя на то, как мой сайт на Wordpress ежедневно пытаются взломать (получаю отчеты и блокирую IP), приходит на ум ряд моментов, которые стоит применить в CMS Sitebill:

- изменить страницу входа в админу с http://my-site/admin на что-то иное, отличающееся от слова admin или administrator, это первые страницы, которые пытаются взломать;

- не использовать в качестве имени администратора имена "admin", "administrator", это первое, что лезет на ум хакеру или роботу, на днях пароль к имени "admin" на моем сайте пытались подобрать 1280 раз;

- изначально требовать сложный буквенно-цифровой пароль из 10 символов и более...

- использовать сложную капчу, хотя похоже ломается любая;

- желательна двухуровневая аутентификация, либо через подмену страницы входа, защищенную паролем (уже работает в Joomla), или через подтверждение пароля вводом полученного кода в SMS, либо через генератор вопрос-ответ, как например при использовании приложений для смартфонов "Bitrix OTP" (для 1С Битрикс) или "E-num" (для WebMoney)

- внедрить настраиваемую блокировку IP при десятке неудачных попыток входа в админку, блокировка на сутки с уведомлением админа по e-mail и указанием IP взломщика, для принятия решения администратором и внесения IP в карантин или в черный список, на всегда. Например для Wordpress есть соответствующий модуль Wordfence Scan, который позволяет делать это и не только, хоть целиком доступ из определенной страны заблокировать можно. Попутно, модуль проверяет файлы Wordpress и установленных плагинов на подмену (сравнивая с официальными файлами разработчика), имеет кучу гибких настроек автоматических действий и предупреждений, настраиваемую систему мониторинга и защиты, вплоть до полной блокировки доступа на сайт в случае DDOS атак.

 

При существующем варианте "защиты" в Sitebill, нельзя быть уверенным, что в вашем сайте уже не пасутся хакеры... А спустя неделю-полгода случайно обнаружить свой сайт в списке блокировки как распространителя СПАМа или участника DDOS атаки...

[Дмитрий Кондин 690]

Хорошие замечания, будем совершенствовать защиту.

[abushyk 694]

ПС. Те, кто использует файлы типа 

/template/frontend/***/main/grid/grid_constructor_local.php

либо имеет в папке шаблона файлы похожие на grid_constructor_local.php и local_grid_constructor.php

отпишитесь.

Был ряд полезных изменений в конструкторе сеток, которых вы можете лишиться.

[TopRaN 235]

Уважаемые пользовати, убедительная просьба временно воздержаться от редактирования шаблона через редактор в админке во избежания обнуления редактированого файла. Глюк устраняется, в ближайшее время выйдет обновление.

Пользуйтесь локальными редакторами для правки кода с последующим перемещением файлов по фтп.

[Дмитрий Кондин 690]

Исправления сделали, обновите tpleditor до 1.5.1, чтобы не обнулялись шаблоны